セキュリティポリシーテンプレートとは

Windowsサーバには、個別のコンピュータごとに設定するローカルセキュリティポリシー、あるいはActive Directoryを利用して一括設定するグループポリシーといったセキュリティ関連機能がある。

こうしたセキュリティ関連機能の設定情報を一括して出力したり、取り込んで適用したりする機能として、セキュリティポリシーテンプレートがある。今回からしばらく、この機能について解説しよう。Active Directoryを使用していない環境でも複数のサーバについてセキュリティ関連設定を容易に統一できる、なかなか便利な機能だ。

ポリシーテンプレートの概要と作業準備

セキュリティポリシーテンプレート(以下、ポリシーテンプレート)は、拡張子「.INF」を持つファイルで、これを適用対象のコンピュータにコピーしてから適用操作を行う仕組みだ。拡張子は同じ「.INF」だが、デバイスドライバと一緒に配布するドライバ情報ファイルとはまったくの別物なので注意したい。

Windowsサーバには最初から、さまざまな内容のポリシーテンプレートを用意してある。

Windows Server 2003を例にとると、ファイル名は「basic○○」「hisec○○」「secure○○」となっており、この順番でセキュリティ設定が堅固になる。「○○」の部分は、「dc」がドメインコントローラ、「ws」がワークステーション、「sv」が一般サーバに対応している。だから、「securedc.inf」であれば、ドメインコントローラ向けに最高レベルの堅固な設定を施した歩シーテンプレート、という意味になる。

こうした既存のポリシーテンプレートをそのまま適用してもよいし、内容をカスタマイズしてから適用してもよい。もちろん、新規作成してもよい。

MMCコンソールの作成と検索パスの指定

ポリシーテンプレートを利用するには、専用のMMCスナップインを組み込んだMMCコンソールを用意する必要がある。

使用するスナップインは[セキュリティテンプレート]と[セキュリティの構成と分析]の2種類で、MMC.EXEを単独で実行した状態で、これらのスナップインを追加すればよい。後から何回も使用するだろうから、コンソールファイル(*.msc)を保存しておくとよいだろう。

Windowsサーバが標準装備しているポリシーテンプレートのファイルは、「%SystemRoot%\Security\Templates」フォルダに置かれている。これが既定の検索パスということになり、新たにポリシーテンプレートを追加する場合にも、対応する「*.INF」ファイルをこのフォルダにコピーしてくればよい。

ただし、別のフォルダを検索パスとして追加することもできる。その際の手順は以下の通りだ。

1. MMCスナップイン[セキュリティテンプレート]で、ツリー画面の[セキュリティテンプレート]を選択する。このアイテムの下に、インストール済みのポリシーテンプレート一覧を表示している。

2. [操作]-[新しいテンプレートの検索パス]、あるいは右クリックして、[新しいテンプレートの検索パス]を選択する。

3. 続いて表示するダイアログで、検索パスに指定したいフォルダを選択する。

今週はここまでにして、ポリシーテンプレートの追加・編集などについては、次週に解説することにしよう。